Eu quero saber quem e quando tocou em um arquivo. Minha última pergunta mostrou que não posso confiar no NTFS.
A implementação para isso é diferente de acordo com a sua infraestrutura, mas a resposta (em princípio) é a mesma. Tempo para implementar a auditoria de arquivos.
Se você está falando sobre compartilhamentos em um servidor Windows, então deve implementar a Auditoria de arquivos via GPO . Se você estiver preocupado com uma estação de trabalho Windows, isso pode ser implementado pela Política de segurança local
Você deve conseguir ativar a auditoria de acesso a arquivos. Isso é diferente de observar a data / hora modificada. A página a seguir tem um ótimo writeup: link
Você provavelmente desejará dar o próximo salto lógico e olhar na direção dos chamados HIDS (Host-Based Intrusion Detection Systems), que, como um de seus recursos, oferecem a configuração de monitoramento de arquivos.
Não posso recomendar HIDS para Windows, mas você deve encontrar algo que atenda às suas necessidades.
Você pode acompanhar as alterações do sistema de arquivos com versões recentes do Splunk. A versão gratuita permitirá que você indexe até 500MB por dia, o que deve ser suficiente para a maioria das alterações no sistema de arquivos.
Informações sobre como isso acontece em: link
Você pode tentar Power Admin File Sight . Há uma avaliação de 30 dias disponível e, se você decidir comprar, não é muito caro.